Pour Symantec, Firefox serait le plus vulnérable des navigateurs

Symantec affirmait dans son dernier rapport semestriel sur la sécurité des navigateurs que Firefox, le navigateur de la Fondation Mozilla, était plus vulnérable qu'Internet Explorer, celui de Microsoft. Il faut cependant savoir que les affirmations de Symantec sont basées sur les chiffres suivants : 47 failles auraient été découvertes dans Firefox dans le courant du premier semestre 2006 contre 38 pour Internet Explorer, 12 pour Safari, le navigateur d'Apple, et enfin 7 seulement pour Opera.

Alors oui, en voyant les chiffres, on peut dire que Firefox est le plus vulnérable des navigateurs. Mais il ne suffit pas d'aligner des chiffres pour prouver quoi que ce soit, il faut peut-être regarder la façon dont sont traitées les failles par les éditeurs eux-mêmes. Et à ce petit jeu-là, la Fondation Mozilla est tout de même grande gagnante puisqu'il ne s'écoule en général pas plus d'une journée entre la mise en évidence publique d'une faille et la publication d'une nouvelle mouture de Firefox apportant la rustine de sécurité. Le délai pour Microsoft s'élève tout de même à neuf jours en moyenne, neuf jours pendant lesquels l'utilisateur d'Internet Explorer est susceptible d'être vicitme d'une attaque.

Bon, le meilleur moyen d'analyser les données de Symantec est encore, à mon avis, de reprendre les propos de Tristan Nitot, président de Mozilla Europe, qui est, sans nul doute possible, beaucoup plus doué que moi pour ce faire.

Tout d'abord, Tristan Nitot semble être assez satisfait de cette 10ème édition du rapport de Symantec car dit-il : "Pour la première fois, (...) Symantec mesure la fenêtre d'exposition des navigateurs Web", ce qui n'était pas le cas les fois précédentes, l'éditeur de solutions de sécurité se contentant de répertorier les failles déclarées par les éditeurs eux-mêmes. Comme nous l'avons signalé plus haut, Mozilla est de ce côté le meilleur éditeur ne laissant pas s'écouler plus d'une journée entre la découverte d'une faille dans Firefox et l'édition de son correctif.

Par contre, Tristan Nitot déplore le fait que Symantec ne semble pas prendre en compte la gravité des failles, ni celles découvertes en interne. En effet, le code de Firefox, comme tout logiciel open source qui se respecte, étant public, tous les correctifs apportés sont forcément déclarés. Mais qu'en est-il réellement des logiciels propriétaires ? Les vulnérabilités découvertes en interne peuvent être corrigées de façon silencieuse et hop, ni vu, ni connu et non décompté dans les rapports.

Le Président de Mozilla Europe précise que la Fondation a maintenant recours à des méthodes innovantes, en plus de l'aide de millers de développeurs dont la plupart sont bénévoles, lui permettant de traquer de façon plus intense les défauts dans le code. Ceci explique l'augmentation du nombre de correctifs, la plupart du temps préventifs, ces derniers mois. Et encore une fois, Tristan Nitot souligne que si les éditeurs de navigateurs propriétaires utilisent les mêmes méthodes, alors les failles corrigées ne peuvent pas être comptabilisées du fait de la non accessibilité du code.

Finalement, Tristan Nitot se dit heureux de constater que l'utilisateur final est toujours la priorité de la Fondation Mozilla même si le prix à payer est d'expliquer encore et encore pourquoi le nombre des bugs répertoriés de Firefox est plus important que celui des autres navigateurs. Précisons également que Mozilla prend la peine de corriger tous les bogues découverts y compris ceux dits "non critiques" (ils pourraient le devenir un jour).

En conclusion, Tristan Nitot tient à préciser que, dans tous les cas, les recommandations de Symantec concernant de maintenir son navigateur quel qu'il soit à jour sont toujours d'actualité.

Ndlr : J'espère ne pas avoir fait de contresens en rapportant les propos de Monsieur Nitot et je le prie d'accepter mes excuses si c'était le cas.